켈프DAO 해킹 후폭풍 속 볼로 프로토콜 추가 피해... 디파이 시장 '뱅크런' 위기
2026년 최대 규모인 켈프DAO 해킹 사건의 충격이 가시기도 전에 볼로 프로토콜에서 추가 탈취 사건이 발생했다. 이번 연쇄 보안 사고로 디파이 시장에서 100억 달러 규모의 자금이 유출되며 시스템적 위기가 고조되고 있다.
탈중앙화 금융(DeFi) 생태계가 며칠 사이에 수억 달러의 가치를 증발시킨 고액 해킹 사건들로 인해 휘청거리고 있다. 2026년 최대 규모인 2억 9,200만 달러 규모의 켈프DAO(KelpDAO) 침해 사고를 업계가 수습하기도 전에, 볼로 프로토콜(Volo Protocol)이 여러 금고에서 350만 달러를 잃으며 최신 희생자가 되었다. 이러한 일련의 보안 사고는 시장에 '뱅크런' 심리를 촉발했으며, 디파이 프로토콜에서 100억 달러의 자금 엑소더스를 불러일으키는 동시에 현대 수익 창출 자산의 취약한 상호 연결성을 여실히 드러냈다.
볼로 프로토콜은 WBTC, XAUm, USDC를 보유한 세 개의 금고에서 약 350만 달러의 손실을 입었다. 이번 공격은 켈프DAO 사건 이후 시장의 신뢰가 극도로 위축된 상황에서 발생하여 투자자들에게 가중된 타격을 주었다. 보안 전문가들은 이번 침해가 금고 자체의 취약성을 악용한 것으로 보고 있으며, 이는 대형 프로토콜뿐만 아니라 중소형 플랫폼까지 보안 위협에 상시 노출되어 있음을 시사한다.
디파이 애플리케이션은 고도로 상호 연결되어 있기 때문에, 한 프로토콜의 취약성은 전체 생태계에 시스템적 위험을 초래한다.
켈프DAO의 손실 규모가 워낙 컸기 때문에 볼로 프로토콜의 피해는 상대적으로 작아 보일 수 있으나, 시장에 미치는 심리적 영향은 상당하다. 연쇄적인 해킹 소식은 투자자들로 하여금 자산의 안전성에 의구심을 갖게 했으며, 이는 즉각적인 자금 인출 압박으로 이어졌다. 특히 수익률을 극대화하기 위해 자산을 여러 프로토콜에 예치하는 전략이 오히려 위험을 확산시키는 경로가 되었다는 분석이 지배적이다.
켈프DAO의 그림자: 2억 9,200만 달러의 전례 없는 피해
4월 18일에 발생한 켈프DAO 해킹은 rsETH 크로스체인 브릿지를 표적으로 삼아 약 11만 6,500개의 rsETH 토큰을 탈취했다. 이는 전체 rsETH 유통 공급량의 약 18%에 해당하는 막대한 규모로, rsETH 생태계 전반을 불안정하게 만드는 결정적인 요인이 되었다. 공격자는 탈취한 자금의 일부를 토네이도 캐시(Tornado Cash)를 통해 세탁했으며, 켈프DAO 측은 추가적인 1억 달러 손실을 막기 위해 멀티시그를 통해 컨트랙트를 동결해야 했다.
- ['켈프DAO: 2억 9,200만 달러 손실, 주요 자산 rsETH, 레이어제로 RPC 노드 침해를 통한 공격.', '볼로 프로토콜: 350만 달러 손실, 주요 자산 WBTC, XAUm, USDC, 금고 취약성 악용.']
이번 켈프DAO 공격의 배후에는 북한의 라자루스 그룹(Lazarus Group) 산하 '트레이더트레이터(TraderTraitor)' 부대가 있는 것으로 파악되었다. 이들은 레이어제로(LayerZero)의 검증기에 데이터를 공급하는 두 개의 RPC 노드를 해킹하여 악성 코드를 배포하고 허위 거래 데이터를 주입하는 고도의 기술적 정교함을 보였다. 이를 통해 공격자는 담보가 없는 rsETH를 무단으로 발행할 수 있었으며, 이는 브릿지 보안의 핵심 요소가 무너진 결과였다.
켈프DAO의 취약성은 즉각적으로 아베(Aave)와 같은 주요 대출 프로토콜로 전이되었다. 공격자는 무단 발행한 rsETH를 아베의 담보로 사용하여 실제 WETH를 대출받았으며, 이 과정에서 아베에 약 1억 9,600만 달러의 불량 부채를 남겼다. 이에 따라 아베는 이더리움 네트워크상의 rsETH와 WETH 시장을 동결하는 긴급 조치를 취했으나, 이미 시장의 공포는 확산된 상태였다.
시장 붕괴와 '뱅크런'의 현실화
온체인 분석 플랫폼 디파이라마(DeFiLlama)의 데이터에 따르면, 이번 사건 이후 디파이 시장 전체의 총 예치 자산(TVL)은 약 100억 달러에서 130억 달러 가량 급감했다. 아베의 TVL은 며칠 만에 33%나 폭락했으며, 거버넌스 토큰인 AAVE의 가격 또한 30% 하락하며 투자자들의 투매 현상을 반영했다. 특히 코스모허브(CosmoHub)를 포함한 120개 이상의 네트워크가 TVL 감소를 겪으며 시장 전반에 걸친 후퇴가 확인되었다.
보안 플랫폼 이뮤너파이(Immunefi)와 해큰(Hacken)의 보고서에 따르면, 2024년 3분기 손실액 중 약 28.7%는 자동화된 사고 대응 전략만으로도 방어할 수 있었던 것으로 나타났다. 2026년에 접어들며 해킹 규모가 더욱 커짐에 따라, 단순한 코드 감사를 넘어선 실시간 모니터링과 브릿지 인프라의 보안 표준 강화가 절실해지고 있다. 디파이의 미래는 이제 개별 프로토콜의 성장을 넘어, 상호 연결된 위험을 관리할 수 있는 시스템적 방어 체계 구축 여부에 달려 있다.
| Protocol | Estimated Loss | Primary Asset(s) Affected | Exploit Vector |
|---|---|---|---|
| KelpDAO | $292 Million | rsETH | LayerZero RPC Node Compromise |
| Volo Protocol | $3.5 Million | WBTC, XAUm, USDC | Vault Vulnerability |
A summary of the two major exploits that destabilized the DeFi market in late April.
본 콘텐츠는 정보 및 논평을 위한 것이며 투자 자문이 아닙니다.
기사에 대한 반응을 남겨보세요
다른 독자의 코멘트를 보고, 바로 의견을 남길 수 있습니다.